Bienvenido a WordPress. Esta es tu primera entrada. Edítala o bórrala, ¡luego empieza a escribir!
Bienvenido a WordPress. Esta es tu primera entrada. Edítala o bórrala, ¡luego empieza a escribir!
Realizar una adaptación de protección de datos es mucho más que cumplir con la ley de protección de datos. Cuando una empresa o un profesional supera las distintas fases de adecuación a esta normativa, su empresa o negocio no solo estará respetando el ordenamiento jurídico, sino que además habrá ganado en confianza para sus clientes, habrá mejorado los procesos y flujos de información, habrá incrementado la ciberseguridad en sus sistemas y habrá dotado de protección a los activos de su corporación.
¿Qué fases implica una adecuación?
Lo primero es conocer el estado en el que se encuentra la información personal sobre la que habrá que aplicar las medidas técnicas y legales; identificar los soportes de información, los tipos de tratamiento y su naturaleza y los sistemas informáticos utilizados para el tratamiento de los datos.
Gracias a esta fase podemos obtener un panorama general de la estructura de la empresa y de la información que se maneja.
Es recomendable que el siguiente punto sea confeccionar el obligatorio registro de actividades de tratamiento, un documento donde constará, al menos la siguiente información:
El siguiente punto es realizar un análisis de riesgos donde evaluar el conjunto de actividades y tareas que nos van a permitir controlar la incertidumbre relativa a una posible amenaza mediante una sucesión de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación. Esta fase es muy importante porque una incorrecta evaluación de riesgos puede suponer o bien implementar medidas innecesarias o bien pasar por alto elementos que pueden provocar un riesgo elevado para nuestra organización.
Será necesario examinar todas las fuentes de entrada de datos en los sistemas de la empresa para valorar la necesidad o no de añadir cláusulas o textos legales, dependiendo de cómo sea esa entrada de datos. Así, por ejemplo, si una entrada de datos se produce a través de un formulario en papel que se facilita a los clientes en el momento de contratar, será necesario que ese documento en papel tenga una cláusula informativa con los elementos mínimos exigidos por la normativa.
Con toda la información anterior, estaremos en posición de describir las medidas de seguridad necesarias para proteger la información, tomando como base el análisis de riesgos realizado. Estas medidas de seguridad podrán ser técnicas o informáticas, esto es, medidas de seguridad destinadas a proteger los sistemas informáticos, como los ordenadores, bases de datos, dispositivos móviles, etc. o bien organizativas, medidas pensadas para el día a día en la organización así como la formación específica a trabajadores.
La anterior estructura es un resumen no exhaustivo de algunas de las fases más relevantes que implican una adecuación al RGPD, pero cada empresa es distinta y por ese motivo será necesario evaluar las necesidades concretas de cada empresa para aplicar unas medidas u otras.
La mejor adaptación es aquella que se realiza de forma personalizada y específica para cada cliente.